보안

지금 ‘핫’한 사이버보안 트렌드 7가지와 열기가 식고 있는 트렌드 4가지

Josh Fruhlinger | CSO 2019.03.14
기술 산업은 역동적이고, 끊임없이 변화한다. IT 보안 산업에 종사하고 있다면, 악성 해커들이 개발한 기법 때문에 변화가 강요될 수도 있는 특이한 상황에 놓인다. 이 산업에는 항상 새로운 무엇이 등장하고, 반대로 유용도가 크게 떨어지는 기법과 도구들도 있다.

기술 보안 트렌드의 온갖 ‘하이프’ 가운데 진짜를 파악하기 정말 힘들 수 있다. 판매할 제품이 있는 회사들은 자신이 시장의 첨단을 걷고 있다고 설득하려 들기 때문이다. 우리는 진짜 ‘핫’한, 또는 열기가 식은 보안 트렌드를 파악하는 데 도움을 주기 위해, 비용부터 효과성까지 중요한 통계들을 조사해 이런 트렌드들을 선정했다.
 
ⓒ Getty Images Bank
11가지 ‘핫'한(그리고 핫하지 않은) 사이버보안 트렌드:
1. Hot - 크리덴셜 스터핑
2. Hot - 협업 앱 보안
3. Not - 랜섬웨어
4. Hot - 은행(금융) 트로이 목마
5. Hot - 사물 인터넷
6. Not - 인공 지능
7. Hot - 양자 암호화
8. Hot - 피싱
9. Not – 바이러스 백신(안티바이러스)
10. Hot - 다중 인증
11. Not - 블록체인
 

Hot - 크리덴셜 스터핑(Credential stuffing)

매년 대기업에서 수백만 개의 사용자 이름과 암호가 침해당하는 중대 해킹 사고가 연이어 발생한다. 이런 해킹 공격은 공격자가 훔친 수 많은 크리덴셜을 이용해 다양한 웹사이트에 자동 로그인 공격을 하는 이른바 크리덴셜 스터핑을 초래한다. 많은 사람들이 여러 사이트에서 동일한 사용자 이름과 암호를 사용하고 있는 데, 공격자가 이를 악용하는 것이다. 자동 공격이기 때문에 훔친 로그인 크리덴셜 가운데 아주 적은 비율만 일치해도 공격할 가치가 있다.

패스워드핑(PasswordPing)을 공동 창업한 크리스텐 란타 하이칼 윌슨 제품 관리 책임자 겸 CMO는 “사용자 크리덴셜을 더 안전하게 만들어야 한다. 기업과 기관은 로그인, 비밀번호 재설정, 계정 활성화 동안 선행적으로 크리덴셜 침해 여부를 조사, 최종 사용자에게 거의 영향을 주지 않으면서 온라인 계정 탈취나 부정 행위를 크게 경감할 수 있다”고 강조했다.

주요 통계 : 샤페 시큐리티(Sharpe Security)에 따르면, 2018년 한 해 항공사 고객 로그인 가운데 60%, 소매점 트래픽의 91%가 크리덴셜 스터핑이었다.
 

Hot - 협업 앱 보안 

업무 조율과 협력을 도와주는 앱을 활용하는 팀이 증가하는 추세이다. 아마 갈수록 더 많은 장소에서 사용되는 메시징 및 협업 플랫폼인 슬랙이 가장 인기가 있을 것이다. 그러나 셰어포인트 같은 가상 워크스페이스, 드롭박스 같은 파일 공유 및 동기화 앱들도 협업 앱 범주에 포함된다. 이런 도구들은 생산성 향상에 도움을 주지만, 또 다른 공격 표면이 되기도 한다. 클라우드 기반 사이버보안 공급업체인 퍼셉션 포인트의 요람 샐링거 CEO는 “더 많은 조직들이 이 필수 애플리케이션을 도입하면서, 해커들이 악성 콘텐츠를 배포하기 위해 사용할 수 있는 경로의 수가 늘어나고 있다. 많은 협업 앱이 개별 사업 단위가 IT와 협의하지 않고 설치할 수 있는 웹 기반, 또는 클라우드 서비스이기 때문에 보안 통제에서 벗어나는 경우들이 많다”고 지적했다.

주요 통계: 퍼셉션 포인트가 실시한 조사에 따르면, 직원들이 이런 협업 서비스를 통해 URL과 파일을 공유한다고 대답한 응답자 비율이 80%가 넘는다. 이메일이나 다른 일반적인 수단을 통해 공유할 경우에는 보안 담당자가 스캔을 하는 파일들이지만, 협업 앱에서는 스캔이 되지 않는다.
 

Not - 랜섬웨어

랜섬웨어는 침해한 컴퓨터를 제어 및 통제하고 데이터를 ‘인질’로 잡은 후 ‘몸값’을 내지 않으면 영구적으로 데이터가 암호화될 것이라고 협박하는 고약한 악성코드의 일종이다. 특히 2017년의 워너크라이와 낫페트야 공격이 대중들이 이런 종류의 악성코드를 자각하도록 만들었다.

이런 이유로 랜섬웨어 공격, 관련된 익스플로잇 키트 활동이 전반적으로 감소하고 있다는 사실이 놀라울 수도 있다. 2018년 대부분의 랜섬웨어 공격이 피싱을 통해 이뤄졌다. 이는 이런 종류의 악성코드의 무게 중심이 일반 소비자에서 이메일 중심인 기업으로 옮겨가고 있는 이유를 설명해준다.

주요 통계 : 2018년 한 해 랜섬웨어 활동이 20%가 감소했다. 워너크라이와 페타야 변종을 제외할 경우, 감소폭이 더욱 커진다. 무려 52%이다.
 

Hot - 은행(금융) 트로이 목마

악명 높은 은행털이인 윌리 서턴은 은행 강도를 하는 이유를 묻자 “은행에 돈이 있기 때문”이라고 대답했다. 그런데 윌리 서턴의 말을 가슴에 새기는 악성코드 공격자들이 증가하고 있는 것으로 보인다. 금융기관의 사용자 계정에 대한 액세스 권한 탈취에 초점을 맞춘 트로이 목마 공격이 다수 발생했기 때문이다. 피싱 사이트, 하이재킹된 이메일 등 일반적인 수단으로 전파가 되는 트로이 목마이다. 그러나 설치가 된 후에 은행 사이트의 사용자 대화, 상호작용에 초점을 맞춘다는 차이점이 있다. 키로깅(keylogging)을 비롯한 스파이웨어 기법으로 로그인 정보를 빼낸 후 범죄자에게 전송 및 보고를 한다.

주요 통계 : 지난 해, 이런 종류의 트로이 목마는 안드로이드를 중심으로 모바일 환경의 위협으로 부상했다. 맥아피는 2018년 한 해 은행(금융) 트로이 목마가 77% 급증했다고 추정하고 있다.
 

Hot - 사물 인터넷(IoT)

사물 인터넷은 컴퓨터보다 작고 단순하며, 무선 네트워크에 연결되고, 특정 목적을 위해 배포되는 여러 이질적인 장치들을 모두 포괄하는 포괄적인 개념이다. 산업용 센서부터 스마트 홈 온도 조절기까지 다양한 장치가 여기에 포함된다. 인터넷이 ‘화면’을 가진 장치 이상으로 확산이 되고, ‘실제 세상’과 상호작용을 할 수 있도록 만드는 잠재력을 갖고 있다.

그렇지만 유감스럽게도 표준화가 되어있지 않고, 빌트인 보안이 미흡하고, 원격 관리가 어렵지만, 해킹할 수 있는 기능을 가진 IoT 장치가 많다. 최근 가장 떠들썩했던 IoT 관련 보안 사고 중 하나는 미라이 봇넷 이었다. 원래 경제적인 이유에서 마인크래프트 플레이어들을 많이 유치하기 위해 시도된 공격이었지만, 이 과정에 대규모 인터넷 서비스 중지 사태를 초래한 공격이다. 그런데 여기에 인터넷에 연결된 CCTV 카메라가 동원되었다.

주요 통계: 보안 전문가들은 IoT 기술이 생존하기 위해서는 IoT 장치를 잠글 필요가 있다고 생각한다. 최소한 일반 인터넷으로부터 격리시켜야 한다. 크로스워드 사이버시큐리티는 지난 10년 간 학술 보안 연구 자료를 분석, IoT에 초점을 맞춘 프로젝트의 수가 10년 간 123%나 급증했다고 추산했다. 현재 IoT에 초점이 맞춰진 프로젝트는 이런 프로젝트 가운데 14%이다.
 

Not - 인공 지능(AI)

AI를 포괄적이지 않은 개념으로 분류하는 것이 이상하게 보일 지경이다. 많은 보안 회사들이 인공 지능을 강조한 상품에 대한 보도 자료를 쏟아내고 있기 때문이다. 때론 머신러닝, 딥 러닝이라는 표현도 사용한다. 그러나 이런 행태가 반발을 불러일으켰다. 니요트론(Nyotron)의 제품 및 마케팅 담당 르네 콜가 시니어 디렉터는 “CISO에게 인공 지능을 언급한 후 반응을 보기 바란다. 모든 마케팅 조직이 인공 지능이라는 표현을 지나치게 많이 사용하면서 ‘AI 피로’ 현상이 초래되었고, 그 의미가 완전히 사라졌다. 포스포인트(Forcepoint)의 라파엘 마티 같이 냉정함을 유지할 줄 아는 사람들도 사이버보안 시장에서 AI와 ML과 관련해 초래되는 문제를 이야기할 정도이다.

주요 통계: 포네몬 인스터튜트의 추정에 따르면, AI 기반 엔드포인트 보안 솔루션의 ‘부정 오류’ 비율은 50%에 가깝다. 
 

Hot - 양자 암호화

현재 통신(커뮤니케이션) 암호화에 사용하고 있는 방법은 본질적으로 안전하지 않다. 이론적으로 공격자가 무력화할 수 있는 암호 키 교환에 의지하는 방법이다. 이런 보안은 현실적으로 공격이 불가능한 정도로 연산이 복잡한 수학적 방법을 사용해서만 키를 해독할 수 있다는 ‘사실’에 기반을 둔다.

그런데 우리가 컴퓨터에 대하 알고 있는 사실 한 가지가 있다. 컴퓨터의 연산 처리 속도가 갈수록 빨라진다는 것이다. 차세대 양자 컴퓨터를 예로 들자. 2진 연산이 아닌 양자 역학에 기반을 둔 컴퓨터로 기존에는 사실상 불가능했던 암호화 해독을 짧은 시간에 처리할 수 있을 것으로 예상되는 기술이다.

여기에 대한 해결책 또한 ‘양자 물리’이다. 양자 물리에 양자 물리로 대적하는 것이다. 양자 키 배포(Quantum key distribution)가 기존 암호 키 인프라를 이론적으로 보안이 완벽해질 수 있는 인프라로 대체시킨다. 조작을 하지 않고는 양자 상태를 관찰할 수 없다는 사실 때문에, 특수 하드웨어를 통해 공유 키를 갖는 컴퓨터는 대화를 엿들으려 시도하는 중간자 공격이 발생할 경우 즉시 ‘얼럿’을 받게 된다.

주요 통계 : 미래의 이야기로 들릴지 모르겠다. 5년~20년이 지나야 양자 컴퓨팅이 보급될 것으로 추정하는 사람들이 많다. 그러나 이런 이유로 지금 당장 싸울 수 있는 보안에만 리소스를 투입해야 하는 것은 아니다. 크로스워드 사이버시큐리티가 수행한 10년 간의 학술 연구 분석 결과에 따르면, 양자 암호화에 초점을 맞춘 프로젝트의 수가 227% 급증했다.
 

Hot - 피싱

사용자를 속여 로그인 정보를 입수하는 기법인 피싱(Phishing)은 새로운 공격 기법이 아니다. 그러나 여전히 공격자들이 선호하는 공격 기법이다. 피싱을 이메일과 연결해 생각하는 경우가 많지만, 현재 공격자들은 피해자를 속이기 위해 다양한 공격 벡터를 자신에게 유리하게 이용하고 있다. 슬래시넥스트(SlashNext)를 창업한 아티프 무슈타크CEO는 “정상적으로 보이는 사이트와 광고, 검색 결과, 팝업, 소셜 미디어 게시물, 채팅 앱, 인스턴스 메시지 등을 매개체로 하는 표적화된 피싱 공격, 악성 브라우저 익스텐션, 무료 웹 앱 등을 통한 피싱 공격의 표적이 되는 직장인들이 증가하고 있는 추세이다. 또한 대부분의 IT 리더들은 피싱 위협이 얼마나 빨리 확산되는지 인식하지 못하고 있다. 사이트 탈취, 사이버 범죄자의 보안 통제책 무력화에 필요한 시간이 몇 분에서 몇 시간 정도에 불과하다”고 말했다.

주요 통계: 2019년 버라이즌 데이터 침해 사고 조사 보고서(2019 Verizon Data Breach Investigations Report)에 따르면, 확인된 데이터 침해 사고 가운데 피싱 공격이 관련된 사고가 93%에 달한다.
 

Not – 바이러스 백신(안티바이러스)

시만텍은 지금으로부터 약 5년 전 바이러스 백신은 ‘죽었다’고 선언했다. 그러나 이 제품 부문은 여전히 좀비처럼 살아있다. 많은 산업에서 의무적으로 바이러스 백신을 통한 보안을 요구하고 있는 규제도 여기에 도움을 주고 있다. 웜과 다른 형태의 악성코드 공격이 계속되고 있지만 IT 전문가들은 바이러스 백신을 무력한 방어 메커니즘으로 취급하고 있다. 갈수록 정교해지는 공격에 보조를 맞출 능력이 없고, 피싱 이메일 같이 중요한 공격 벡터에 무력하기 때문이다.

주요 통계: SANS 인스터튜트 조사에 따르면, 바이러스 백신 소프트웨어가 감지에 성공한 사이버 공격의 비율은 절반 미만이다.
 

Hot - 다중 인증 

여기에서 언급한 많은 보안 공백이 귀결되는 지점이 있다. 암호를 도난 당할 경우, 공격자가 개인 정보나 기능에 액세스할 수 있게 된다는 것이다. 이런 난제를 극복하기 위해, 보안 시스템은 이런 암호를 기밀 데이터 액세스에 필요한 여러 인증 요소 중 하나에 불과한 것으로 처리해야 한다. 사용자가 알고 있는 것(암호), 사용자가 갖고 있는 것(보안 토큰), 또는 생체인식 보안 같은 것이 이러한 요소가 될 수 있다. ATM 기계를 다중 인증이 적용된 사례로 들 수 있다. PIN과 카드가 있어야 액세스를 할 수 있기 때문이다. 현재 많은 웹사이트가 로그인에 암호와 함께 전화기 문자 메시지로 발송한 코드를 요구하고 있다.

주요 통계: 대규모 해킹 공격이 암호에 대한 신뢰도를 떨어뜨리면서, 다중 인증 보안을 도입하는 기업들이 증가하고 있다. 옥타(Okta)의 2019년 Business@Work 보고서에 따르면, 2-4개의 요소를 보안에 사용하고 있는 기업의 비율이 지난 해의 65%보다 증가한 70%이다.
 

Not - 블록체인

2018년 한 해 비트코인 가치가 약 80%가 감소했다. 비트코인과 블록체인이 동일한 개념은 아니지만, 블록체인 기반 보안 기술에 대한 관심도 빠른 속도로 줄어들고 있다. 니요트론의 콜가는 이 기술에 대한 투자가 얼어붙은 상태라고 표현을 했다. 한편으로는 반대급부도 있다. 비트코인 가치가 하락하면서 크립토마이닝 공격도 감소하고 있다. 이는 피해자의 컴퓨터를 하이재킹, 공격자의 배를 불리는 비트코인 채굴에 동원하는 공격이다.

주요 통계: 최근 임원들을 대상으로 한 조사 결과에 따르면, 블록체인 기술을 전개할 계획이 있는 기업 비율이 1%에 불과하다. 포레스터 리서치는 프로덕션 단계에 도달하지 못한 블록체인 프로젝트의 비율이 90%라고 추정한다. 
 

시간을 초월한조언: 트렌드를 뒤쫒지 말라!

이 글이 IT 보안에 있어 변화하는 도전과제 가운데 일부를 조명했기 희망한다. 그러나 이와 동시에 시대와 시간에 상관없이 현명한 보안 전문가들이 문제에 접근하는 방식에 도움을 줄 보안 베스트 프랙티스도 존재한다는 점을 강조하고 싶다. 펜서 디벨로프먼트(Pensar Development)의 보안 및 정보 디렉터 겸 IEEE 회원인 케인 맥글레드리는 “기업은 항상 ‘기본’으로 돌아간다. 패칭, 인벤토리 관리, 암호 정책이 NIST 지침을 준수하도록 만드는 것을 예로 들 수 있다. 기업들은 볼 수 없는 것을 방어할 수 없다는 점을 인식하고 있다. 또 가장 쉽게 성과를 창출하는 방법은 시스템을 최신 상태로 유지하고, 크리덴셜 스터핑 공격을 방어하는 것이라는 점을 알고 있다”고 말했다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.